Microsoft Sentinel 允許你將 Windows 網域名稱系統 (DNS) 伺服器日誌的事件串流並過濾到ASimDnsActivityLog正規化的結構表。 本文說明用於資料過濾的欄位,以及 Windows DNS 伺服器欄位的正規化結構。
Azure Monitor Agent (AMA) 及其 DNS 擴充功能安裝在您的Windows Server上,用以將 DNS 分析日誌中的資料上傳至 Microsoft Sentinel 工作空間。 你可以透過 AMA 連接器的 Windows DNS 事件來串流和過濾資料。
可用於篩選的欄位
下表顯示可用欄位。 欄位名稱會使用 DNS 架構進行正規化。
| 欄位名稱 | 值 | 描述 |
|---|---|---|
| 事件原創類型 | 編號介於256至280之間 | Windows DNS eventID,表示 DNS 協定事件的類型。 |
| 事件結果詳情 | • NOERROR(無誤) • 前者 • 服務失敗 • NXDOMAIN • NOTIMP • 拒絕 • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • 壞蛋隊 • 巴德西格 • 壞鑰匙 • 壞時間 • 巴達爾格 • 巴特倫克 • 壞餅乾 |
該操作的 DNS 結果字串,依據網際網路號碼分配管理局(Internet Assigned Numbers Authority)定義 (IANA) 。 |
| DvcIpAdrr | IP 位址 | 報告事件的伺服器的 IP 位址。 此欄位同時包含地理定位及惡意 IP 資訊。 |
| DnsQuery | FQDN) 網域名稱 ( | 代表待解析網域名稱的字串。 • 可接受多個逗號分隔列表的值,以及萬用字元。 例如: *.microsoft.com,google.com,facebook.com• 檢視 使用萬用卡時的這些考量。 |
| DnsQueryTypeName | • A • NS • 醫學博士 • 中場 • CNAME • SOA • MB • 中級 • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • 國家安全顧問協會(NSAP) • NSAP-PTR • SIG • 關鍵 • PX • GPOS • AAAA • 時空 • NXT • EID • NIMLOC • SRV |
請求的 DNS 屬性。 由 IANA 定義的 DNS 資源記錄類型名稱。 |
ASIM 正規化 DNS 架構
本表格描述並將 Windows DNS 伺服器欄位轉換為 DNS 正規化結構中出現的正規化欄位名稱。
| Windows DNS 欄位名稱 | 正規化欄位名稱 | 類型 | 描述 |
|---|---|---|---|
| 事件ID | 事件原創類型 | 字串 | 原始事件類型或 ID。 |
| RCODE | 事件結果 | 字串 | 活動結果 (成功、部分、失敗、無結果) 。 |
| RCODE 解析 | 事件結果詳情 | 字串 | 這是 IANA 定義的 DNS 回應代碼。 |
| 介面IP | DvcIpAdrr | 字串 | 事件報告裝置或介面的 IP 位址。 |
| AA | DNS旗幟權威 | 整數 | 顯示伺服器回應是否具權威性。 |
| 公元後 | DnsFlags認證 | 整數 | 表示伺服器已依據伺服器政策驗證了答案中的所有資料及回應的權威。 |
| RQNAME | DnsQuery | 字串 | 這個網域需要被解決。 |
| QTYPE | DnsQueryType | 整數 | 根據 IANA 定義的 DNS 資源記錄類型。 |
| 連接埠 | SrcPortNumber | 整數 | 來源埠發送查詢。 |
| 來源 | SrcIpAddr | IP 位址 | 發送 DNS 請求的客戶端的 IP 位址。 對於遞迴 DNS 請求,這個值通常是報告裝置的 IP,在大多數情況下為 127.0.0.1。 |
| 經過時間 | DnsNetworkDuration | 整數 | 完成 DNS 請求所需的時間。 |
| GUID | DnsSessionId(dnsSessionId) | 字串 | 報告裝置回報的 DNS 會話識別碼。 |
後續步驟
在本文中,你了解了使用 Windows DNS 事件透過 AMA 連接器過濾 DNS 日誌資料的欄位。 想了解更多關於 Microsoft Sentinel 的資訊,請參閱以下文章:
- 學習如何 讓資料與潛在威脅獲得可視化。
- 開始用 Microsoft Sentinel 偵測威脅。
- 使用工作簿 來監控你的資料。